Wettlauf gegen die Zeit: Warum die »Goldene Stunde« nach einem Hacker-Angriff die wichtigste ist

Der aktuelle Report »Tackling Attack Detection and Incident Response« untersucht Cyberangriffe auf Organisationen, ihre Sicherheitsstrategien und die Herausforderungen bei der schnellen Reaktion auf Angriffe. Der von Intel Security in Auftrag gegebene Report der Enterprise Strategy Group (ESG) basiert auf einer internationalen Umfrage unter 700 IT- und Security-Verantwortlichen.

Sie zeigt auf, dass die Befragten von sicherheitsrelevanten Vorfällen überschwemmt werden. So haben die befragten deutschen Unternehmen vor allem Probleme damit, einen gezielten Angriff schnell einzudämmen (67 Prozent), die IT wieder in den reibungslosen Betrieb zu bringen (durchschnittlich 14 Stunden) und das Problem nachhaltig zu lösen (26 Stunden). Gezielte Angriffe auf ihr Unternehmen – die schädlichste Form des Cyberangriffs – machen fast ein Drittel (27 Prozent) aller Vorfälle in Deutschland aus. Hauptprobleme sind der mangelnde Überblick über Aktivitäten der Anwender, Vorgänge im Netzwerk, fehlendes Know-how und Erfahrung sowie schlechte Analysefähigkeiten im Unternehmen.

Hauptprobleme für zu lange Reaktionzeit

Unternehmen, die nicht in der Lage sind, Angriffen schnell zu begegnen, öffnen Hackern Tür und Tor: Diese können dann innerhalb ihres Netzwerks für Tage, Wochen oder sogar Monate aktiv sein. Organisationen, die nicht schnell handeln können, riskieren bei ausgeklügelten Angriffen einen großen Schaden. Die Hauptprobleme für die zu lange Reaktion ist laut der Befragten das mangelnde Wissen über die Aktivitäten der Nutzer und im Netzwerk, ebenso wie fehlende investigative Fertigkeiten und Erfahrung im Unternehmen. Nicht zuletzt stellen nicht ausreichende Analysefähigkeiten eine Herausforderung dar.

»Herzinfarktpatienten müssen innerhalb der ersten, alles entscheidenden »Goldenen Stunde« ins Krankenhaus eingeliefert werden, um die Überlebenschancen zu erhöhen – genau so muss die Sicherheitsbranche daran arbeiten, die Zeit zu verkürzen, die von der Entdeckung bis zur Abwehr eines Angriffs verstreicht, bevor Schaden entsteht«, erklärt Hans-Peter Bauer, Vice President Central Europe bei Intel Security. »Dazu müssen sich Unternehmen einige Fragen ehrlich beantworten – was machen sie nicht richtig, wo muss die IT ihre Sicht auf die Sicherheit ändern: weg von manuellen zu automatisierten Aufgaben, von überlastetem Personal zu Analytics und Automatisierung und von isolierten punktuellen Produkten zu integrierten Plattformen.«

Die großen Zeitfresser in der Security

Die Befragten gaben an, dass die Security-Überwachung nicht genügend Einblick in die Aktivitäten der Nutzer, der Geräte und des Netzwerks bietet. Entsprechend sind Nachforschungen sehr zeitintensiv und es vergeht viel wertvolle Zeit bis Gegenmaßnahmen ergriffen werden können. So gab über die Hälfte an, dass es besonders lange dauert, zu bestimmen, welche Auswirkungen und welche Ausmaße ein Sicherheitsvorfall hat (52 Prozent). Sogar 67 Prozent brauchen besonders lange, um die Auswirkungen des Angriffs einzudämmen.

Fast 65 Prozent der befragten Deutschen halten die fehlende Integration und Kommunikation zwischen den einzelnen Sicherheitssystemen für das grundlegende Problem, aufgrund dessen Sicherheitsrisiken nicht rechtzeitig entdeckt und behandelt werden können. 58 Prozent wünschen sich deshalb eine engere Integration zwischen sicherheitsrelevanten Daten und den IT Operations Tools. Diese Antwort legt nahe, dass die übliche Patchwork-Architektur – bestehend aus Dutzenden einzelnen Security-Produkten und einer Reihe an Silos von Lösungen, Konsolen, Prozessen – Reports generieren, die sehr zeitaufwendig zu interpretieren sind. Solche Architekturen verursachen nur immer mehr Daten, die von den Verantwortlichen gar nicht mehr analysiert werden können.

Die Lösung liegt in einer sinnstiftenden Analyse

Die Studie zeigt deutlich, dass gute Analysefähigkeiten notwendig sind: 48 Prozent geben an, dass sie bessere Analyse-Tools benötigen würden, um sicherheitsrelevante Daten in Informationen zu verwandeln, aus denen sie konkrete Handlungsempfehlung ableiten können.

Vier Kernstrategien für CISOs

Der Report empfiehlt vier Kernstrategien für IT-Verantwortliche, mit denen sie die Zeit und Effektivität ihrer »Security Incident Response« verbessern können:

  1. Stark integrierte Architektur für Sicherheitstechnologie: Einzelne Sicherheitslösungen müssen in eine integrierte Security-Architektur überführt werden. So können Informationen über Angriffe gesammelt und über das gesamte Unternehmen hinweg die Aktivitäten der Nutzer, Endpoints und des Netzwerks überwacht werden. Erst so werden effektive, koordinierte Reaktionen auf Angriffe möglich.
  2. Datenwert statt Volumen – Leistungsfähige Analyse: Security Analytics und gute Algorithmen helfen, ungewöhnliche Ereignisse zu entdecken, beeinträchtigte Systeme zu identifizieren und die Ursache und das Ausmaß zu analysieren.
  3. Bestmögliche Automatisierung von Erkennung und Reaktion: Die Techniken der Cyberangriffe verändern sich ständig. Um Schritt zu halten, brauchen Unternehmen intelligente Algorithmen, lernende Systeme und leicht nutzbare Informationen über Bedrohungen. So können sie Vorkommnisse im Haus mit bekannten Anzeichen für eine Kompromittierung und Indikatoren für einen Angriff abgleichen.
  4. Kontinuierliche Schulung: Sicherheitsverantwortliche müssen sich kontinuierlich weiterbilden, sich zu den neuesten Forschungen im Bereich der Cybergefahren sowie Security-Technologien informieren. Das Management sollte diese Weiterbildungen unterstützen.
Der vollständige Report von Intel Security ist hier abrufbar: https://www.mcafee.com/us/resources/reports/rp-esg-tackling-attack-detection-incident-response.pdf
Methode der Umfrage
Intel Security hat 700 IT- und Sicherheits-Verantwortliche in mittelständischen und großen Organisationen in Asien, Nordamerika, EMEA und Südamerika befragt, davon 100 aus Deutschland. Die Teilnehmer arbeiten größtenteils in den folgenden Branchen: Informationstechnologie (19 Prozent), Produzierendes Gewerbe (13 Prozent) und Financial Services (9 Prozent).

grafik intel security report targeted attacks

 

grafik intel security report reasons for succes of targeted attacks

grafik intel security report real-time visibility

Weitere Artikel zu